Современные информационные технологии/
Информационная безопасность
Дубчак О. В., Максімов Ю.О.
Національний авіаційний
університет(НАУ), Україна
ВИЗНАЧЕННЯ ЗАГРОЗ ЩОДО МЕРЕЖЕВИХ РЕСУРСІВ
Вступ. Стрімке та масове зростання популярності Інтернет –
технологій неодмінно супроводжується
зростанням загроз щодо розголошення персональних даних, критично важливих
корпоративних інформаційних ресурсів, державних таємниць тощо, що завдає
значних матеріальних втрат не тільки окремим об’єктам, але і державам.
Проблеми
забезпечення цілісності та доступності конфіденційної інформації в
корпоративних комп'ютерних мережах (ККМ) обумовлені загрозами безпеці для
локальних робочих станцій і локальних мереж, а також атаками на ККМ, що мають
вихід у загальнодоступні мережі передачі даних. Різноманіття мережевих атак
відповідає різноманіттю систем, проти яких вони створені, причому деякі з
перших відрізняються значною складністю.
Актуальність. Щоденно зловмисники піддають
загрозам мережеві інформаційні ресурси, намагаючись отримати до них доступ і
використовуючи для цього спеціальні дії - атаки, які стають все більш
витонченими за впливом і нескладними у виконанні.
Постановка задачі. Для надійного захисту систем, що використовують мережеві
ресурси, необхідно: знати та чітко класифікувати загрози, що можуть бути
вчинені зловмисниками; ефективно забезпечувати захист від несанкціонованих
втручань; виявляти та ліквідовувати подальші спроби проникнення.
Мета даної роботи – проаналізувати існуючі загрози щодо
ресурсів ККМ і виробити рекомендації щодо зменшення їх шкідливого впливу.
Викладення матеріалу. З точки зору безпеки, розподілені системи (РС) характеризуються наявністю
віддалених атак, оскільки компоненти даних систем зазвичай використовують
відкриті канали передачі даних, і порушник може не лише проводити пасивне
прослуховування переданої інформації, а й модифікувати переданий трафік, тобто
здійснювати активний вплив. І якщо останній може бути зафіксовано, то пасивний
вплив практично не піддається виявленню. Але оскільки в ході функціонування РС
обмін службовою інформацією між компонентами системи здійснюється теж
відкритими каналами передачі даних, то службова інформація стає таким же
об'єктом атаки, як і дані користувача.
Розглянемо найбільш
поширені види мережевих атак.
Підслуховування (sniffing). Здебільшого дані
комп'ютерними мережами передаються в незахищеному форматі - відкритим текстом,
що дозволяє правопорушникам, які отримали доступ до ліній передачі даних у
мережі, підслуховувати або зчитувати трафік [1]. Для підслуховування в
комп'ютерних мережах використовують сніффер - спеціальну прикладну програму, яка перехоплює всі
мережеві пакети, передані через певний домен.
Перехоплення пароля (password-sniffing), переданого мережею в незашифрованому вигляді, є
різновидом атаки підслуховування. Перехоплення імен і паролів створює значну
небезпеку для користувача мережею через
часте застосування одного і того ж
логіна і пароля для безлічі додатків і систем. Слід зауважити, що багато
користувачів взагалі мають один пароль для доступу до всіх ресурсів і додатків.
Якщо програма працює в режимі клієнт/сервер, а аутентифікаційні дані
передаються мережею в текстовому форматі, цю інформацію з великою ймовірністю
можна використовувати для доступу до інших корпоративних чи зовнішніх ресурсів.
У найгіршому випадку зловмисник отримує доступ до призначеного користувачеві
ресурсу на системному рівні, за допомогою чого створює атрибути нового користувача,
які можна в будь-який момент використати для доступу в мережу і до її ресурсів.
Аналіз мережевого трафіка.
Метою атак даного типу є прослуховування каналів зв'язку і аналіз даних, що
передаються, та службової інформації з метою вивчення топології й архітектури
побудови системи, отримання критичної інформації користувача, наприклад,
паролів користувачів або номерів кредитних карт, що передаються у відкритому
вигляді.
Підміна довіреної адреси.
Значна частина мереж і операційних систем використовує IP-адресу комп'ютера для
однозначного визначення потрібного адресата. Спосіб атаки, що являє можливе
некоректне присвоєння IP-адреси, тобто підміна IP-адреси відправника іншою
адресою, - називається фальсифікацією адреси (IP-spoofing).
IP-спуфінг має місце
за умов знаходження зловмисника всередині корпорації або поза нею, і який видає
себе за законного користувача. Зловмисник може скористатися IP-адресою, яка
перебуває в межах діапазону санкціонованих IP-адрес, або вповноваженим
зовнішнім адресою, якому дозволяється доступ до певних мережевих ресурсів[2].
Посередництво. Атака передбачає
активне підслуховування, перехоплення та управління переданими даними невидимим
посередником. За умови, що комп'ютери взаємодіють на низьких мережевих рівнях,
не завжди можна визначити, з ким саме вони обмінюються даними. Для проведення
атаки типу Man-in-the-Middle
правопорушнику потрібен доступ до пакетів, що передаються мережею. Такий доступ
до всіх пакетів, переданих від провайдера ISP в будь-яку іншу мережу, може,
наприклад, отримати співробітник цього провайдера. Для атак даного типу часто
використовуються сніффери пакетів, транспортні протоколи та протоколи
маршрутизації. У більш загальному випадку дані атаки проводяться з метою
крадіжки інформації, перехоплення поточної сесії і отримання доступу до
приватних мережевих ресурсів тощо.
Перехоплення сеансу (session-hijacking). Для даного типу атаки властиво, що, після закінчення
початкової процедури аутентифікації, з'єднання, встановлене законним
користувачем, наприклад, з поштовим сервером, перемикається зловмисником на
новий хост, а початковому серверу видається команда розірвати з'єднання. Як
наслідок - «співрозмовник» законного користувача виявляється непомітно
підміненим. Після отримання доступу до мережі у атакуючого зловмисника
з'являються можливості: відіслати некоректні дані додатків і мережних служб,
наповнити комп'ютер або всю мережу трафіком чи блокувати його тощо.
Відмова в обслуговуванні (Denial-of-Service, DoS). Дана атака робить мережу організації не доступною для
звичайного використання за рахунок перевищення припустимих меж функціонування
мережі, операційної системи або програми. По суті, дана атака позбавляє
звичайних користувачів доступу до ресурсів або комп'ютерів ККМ. Більшість атак
DoS спирається на загальні слабкості системної архітектури. У разі використання
деяких серверних додатків, таких як Web-сервер або FTP-сервер, атаки DoS можуть
полягати у зайнятті всіх з'єднань,
доступних для цих програм, і утриманні їх в зайнятому стані, не допускаючи обслуговування
звичайних користувачів. Якщо атака даного типу проводиться одночасно через
множину пристроїв, зазвичай йдеться про розподілену атаку відмови в
обслуговуванні DDoS (distributed DoS).
Змістовним різновидом DDoS– атак є флудінг (flooding)[3].
Парольні атаки. Зловмисники можуть
проводити даний тип атак з метою заволодіння паролем і логіном законного
користувача, застосовуючи підміну IP-адреси, підслуховування або простий
перебір і використовуючи для цього багаточислені спроби доступу. Такий підхід
іменують атакою повного перебору (brute-for-ceattack)
і для його здійснення використовують спеціальну програму, яка намагається
отримати доступ до ресурсу загального користування, наприклад, до сервера.
Атаки на рівні додатків.
Дані атаки можуть проводитися декількома способами, найпоширеніший з яких
полягає у використанні відомих слабкостей серверного програмного забезпечення
(FTP, HTTP, Web-сервера). Головна проблема даних атак полягає у частому
користуванні портами, яким дозволений прохід через міжмережевий екран.
Мережева розвідка. Даний
тип атак полягає у збиранні інформації
щодо мережі за допомогою загальнодоступних даних і додатків. Під час підготовки
атаки проти будь-якої мережі зловмисник, як правило, намагається отримати про
неї якомога більше інформації. Мережева розвідка проводиться у формі запитів
DNS, луна-тестування (ping-sweep) і
сканування портів. Запити DNS сприяють виявленню власників і адрес доменів.
Луна-тестування адрес, розкритих за допомогою DNS, дозволяє виявити хости, що
реально працюють в даному середовищі. Отримавши список хостів, зловмисник
використовує методи сканування портів, щоб скласти повний перелік послуг,
надаваних цими хостами. У результаті видобувається інформація, яку можна
використовувати для злому.
Спам і фішинг. Дані типи атак, поширеність яких досить значна, відносяться
до не програмних погроз. Спам, обсяг якого зараз досягає 70% загального обсягу
поштового трафіка, може створювати погрозу доступності інформації, блокуючи
поштові сервери, або використовуватися для розповсюдження шкідливого
програмного забезпечення[4].
Фішинг (phishing) як вид Інтернет - шахрайства,
мета якого - отримати ідентифікаційні дані користувачів, використовує не
технічні недоліки програмного забезпечення, а довірливість користувачів[5].
Слід зауважити, що
перераховані типи атак на IP-мережі можливі через ряд причин, серед яких:
використання загальнодоступних каналів передачі даних; уразливості в процедурах
ідентифікації, реалізованих в стеку TCP/IP; відсутність в базовій версії стека
протоколів TCP/IP механізмів, що забезпечують конфіденційність і цілісність
переданих повідомлень; аутентифікація відправника здійснюється за його
IP-адресою, що виконується тільки на стадії встановлення з'єднання, а надалі
справжність прийнятих пакетів не перевіряється; відсутність можливості контролю
за маршрутом проходження повідомлень у мережі Інтернет, що робить віддалені
мережеві атаки практично безпокараними.
Висновок. Отже, ІР –
мережі – це вразливе середовище комутації, що піддається несанкціонованому
доступу, деякі з можливих варіантів якого розглянуто авторами, а тому потребує
постійного контролю безпеки та керування. Використання комбінованих засобів,
таких як застосування для аутентифікації одноразових паролів, криптографічного
захисту каналів зв'язку та повідомлень, що передаються, чітка розмежованість
прав доступу до ресурсів ККМ веде до ефективності та відносної безпеки
останніх.
Література:
1.
Шаньгин В.Ф. Защита компьютерной информации.- М.:ДМК Пресс,2008.-544 с.
2.
Сниффинг сети на коммутаторах: http://www.opennet.ru/base/sec/arp_snif.txt.html
3.
TCP/IP спуфинг: http://www.xakep.ru/post/13264/
4.
DDoS - терроризм: http://www.compdoc.ru/secur/xacer/what_is_ddos_attack/
5.
http://www.securitylab.ru/news/412064.php